8
AD-Integration MediaWiki
Moin,
wir nutzen MediaWiki als Dokumentationssystem rein intern ohne Zugriff aus dem Internet. Nun bin ich darauf gestoßen, dass man das auch an das AD anbinden kann. Das wäre nice to have. Ich habe folgende Anleitung befolgt:
https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration
Das hat auch soweit alles geklappt. Leider kann sich niemand mehr anmelden. Es soll ein SSO werden (laut diversen Informationen aus dem Netz). Ich bekomme aber immer die Meldung "Die Anmeldedaten können nicht verifiziert werden". Kennt jemand den Fehler und auch eine Lösung?
Debian Buster (aktuell),
MediaWiki 1.37.2
PHP 7.4.33 (apache2handler)
MariaDB 10.5.19-MariaDB-0+deb11u2
ICU 67.1
AD Hosts: Server 2019 (auch aktuell)
Liebe Grüße
Erik
wir nutzen MediaWiki als Dokumentationssystem rein intern ohne Zugriff aus dem Internet. Nun bin ich darauf gestoßen, dass man das auch an das AD anbinden kann. Das wäre nice to have. Ich habe folgende Anleitung befolgt:
https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration
Das hat auch soweit alles geklappt. Leider kann sich niemand mehr anmelden. Es soll ein SSO werden (laut diversen Informationen aus dem Netz). Ich bekomme aber immer die Meldung "Die Anmeldedaten können nicht verifiziert werden". Kennt jemand den Fehler und auch eine Lösung?
Debian Buster (aktuell),
MediaWiki 1.37.2
PHP 7.4.33 (apache2handler)
MariaDB 10.5.19-MariaDB-0+deb11u2
ICU 67.1
AD Hosts: Server 2019 (auch aktuell)
Liebe Grüße
Erik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7508772383
Url: https://administrator.de/contentid/7508772383
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
hab mit unserem MediaWiki/ Bluespice damals auch etwas herumhexen dürfen/ müssen...
funktioniert ldapsearch generell bei dir? https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration#Debug ...
Darf euer Debian den DC befragen (Firewall)?
Nutzt ihr LDAPS?
hab mit unserem MediaWiki/ Bluespice damals auch etwas herumhexen dürfen/ müssen...
funktioniert ldapsearch generell bei dir? https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration#Debug ...
Darf euer Debian den DC befragen (Firewall)?
Nutzt ihr LDAPS?
Darf das Wiki denn überhaupt auf den DC - Stichwort Firewall ?
Hast du für das Wiki einen AD User gesetzt der auf das AD zugreifen darf ?
Hast du für das Wiki einen AD User gesetzt der auf das AD zugreifen darf ?
Moin,
danke für die Antworten.
ldapsearch funktioniert mit dem für Mediawiki eingerichteten Systemuser im AD.
CheckLogin und ShowUserInfo funktionieren auch.
Firewall ist zwischen den beiden Servern keine. Die sind im selben Segment.
Liebe Grüße
Erik
danke für die Antworten.
ldapsearch funktioniert mit dem für Mediawiki eingerichteten Systemuser im AD.
CheckLogin und ShowUserInfo funktionieren auch.
Firewall ist zwischen den beiden Servern keine. Die sind im selben Segment.
Liebe Grüße
Erik
Habe das gerade mal auf einer Test-VM getestet und hatte mit folgender Anpassung in der LocalSettings.php Erfolg
(Hier nur der IF-Abschnitt alles andere kann bleiben
Ich hatte das ganze dann noch statt mit ClearText LDAP mit SSL gemacht (CA Cert in den Trust-Store importieren nicht vergessen).
Man kann den AD Login über das Plugin auch vorher nochmal testen, über die mitgelieferten Maintenance-Skripts unter
Zeppel
(Hier nur der IF-Abschnitt alles andere kann bleiben
// Activate Extension
if ( $ldapConfig ) {
wfLoadExtension( 'PluggableAuth' );
wfLoadExtension( 'LDAPProvider' );
wfLoadExtension( 'LDAPAuthentication2' );
wfLoadExtension( 'LDAPAuthorization' );
wfLoadExtension( 'LDAPUserInfo' );
wfLoadExtension( 'LDAPGroups' );
$LDAPProviderDomainConfigProvider = "\\MediaWiki\\Extension\\LDAPProvider\\DomainConfigProvider\\LocalJSONFile::newInstance";
$LDAPProviderDomainConfigs = $ldapJsonFile;
// Force LDAPGroups to sync by choosing a domain (e.g. first JSON object in ldap.json)
$LDAPProviderDefaultDomain = "testlab.intern";
$wgPluggableAuth_Config['Anmelden (testlab.intern)'] = [
'plugin' => 'LDAPAuthentication2',
'data' => [
'domain' => 'testlab.intern'
]
];
$wgPluggableAuth_EnableLocalLogin = false;
$LDAPAuthentication2AllowLocalLogin = false;
}{
"testlab.intern": {
"connection": {
"server": "server.testlab.intern",
"port": "3269",
"user": "CN=MediaWikiAuth,CN=Users,DC=TESTLAB,DC=INTERN",
"pass": "Passw0rd",
"enctype": "ssl",
"options": {
"LDAP_OPT_DEREF": 1
},
"basedn": "dc=testlab,dc=intern",
"userbasedn": "dc=testlab,dc=intern",
"groupbasedn": "dc=testlab,dc=intern",
"searchattribute": "samaccountname",
"usernameattribute": "samaccountname",
"realnameattribute": "cn",
"emailattribute": "mail",
"grouprequest": "MediaWiki\\Extension\\LDAPProvider\\UserGroupsRequest\\UserMemberOf::factory",
"presearchusernamemodifiers": [ "spacestounderscores", "lowercase" ]
},
"userinfo": [],
"authorization": [],
"groupsync": {
"mapping": {
"engineering": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",
"bureaucrat": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",
"interface-admin": "CN=xxxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",
"sysop": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN"
}
}
}
}Man kann den AD Login über das Plugin auch vorher nochmal testen, über die mitgelieferten Maintenance-Skripts unter
php ./extensions/LDAPProvider/CheckLogin.php --conf ./LocalSettings.php --domain testlab.intern --username MaxMuster
Zeppel
Moin Zeppel,
das funktioniert immerhin soweit, dass ich mich mit meinem Domain-Passwort und nicht mehr mit dem internen vom Dokuwiki anmelden kann. SSO wäre jetzt noch schicker. Aber das muss nicht sein.
Vielen Dank.
Liebe Grüße
Erik
das funktioniert immerhin soweit, dass ich mich mit meinem Domain-Passwort und nicht mehr mit dem internen vom Dokuwiki anmelden kann. SSO wäre jetzt noch schicker. Aber das muss nicht sein.
Vielen Dank.
Liebe Grüße
Erik
Zu früh gefreut. Jetzt kann ich mich zwar mit dem Domain-User einloggen, kann aber den grafischen Editor nicht mehr nutzen. Es kommt
Klicke ich auf "Erneut versuchen", kommt die Fehlermeldung erneut. Klicke ich auf "Abbrechen", fällt er auf den Quelltexteditor zurück.
Klicke ich auf "Erneut versuchen", kommt die Fehlermeldung erneut. Klicke ich auf "Abbrechen", fällt er auf den Quelltexteditor zurück.
Gelöst. Am Ende der Geschichte noch
ergänzen und auch der grafische Editor geht wieder.
P.S.: Das stand vorher weiter oben, muss aber an den Schluss.
if ( $_SERVER['REMOTE_ADDR'] == '123.123.123.123' ) {
$wgGroupPermissions['*']['read'] = true;
$wgGroupPermissions['*']['edit'] = true;
$wgGroupPermissions['*']['writeapi'] = true;
}ergänzen und auch der grafische Editor geht wieder.
P.S.: Das stand vorher weiter oben, muss aber an den Schluss.
Das Plugin dafür findest du hier
https://m.mediawiki.org/wiki/Extension:PluggableSSO
https://m.mediawiki.org/wiki/Extension:PluggableSSO
